?[[407063]]?

以上是DarkSide勒索軟件集團(tuán)在大眾面前凹的“人設(shè)”。

自今年5月攻擊美國(guó)輸油管道公司Colonial Pipeline之后，DarkSide“一炮而紅”。大眾的目光紛紛聚集到這個(gè)被發(fā)現(xiàn)不到1年的新組織。

網(wǎng)絡(luò)安全技術(shù)公司Cybereason稱(chēng)，DarkSide 勒索軟件集團(tuán)是一群有組織的攻擊者，他們通過(guò)勒索實(shí)體企業(yè)以及向其他犯罪分子出售勒索軟件工具賺錢(qián)。

DarkSide于 2020 年 8 月被首次發(fā)現(xiàn)，組織的地理位置和背景尚未被證實(shí)。Cybereason也指出，DarkSide此前未攻擊過(guò)總部設(shè)在俄羅斯等前蘇聯(lián)國(guó)家的企業(yè)。

但在攻擊Colonial Pipeline之后，美國(guó)執(zhí)法部門(mén)加強(qiáng)了對(duì)DarkSide的審查，當(dāng)月，DarkSide宣布關(guān)閉其業(yè)務(wù)。

DarkSide曾公開(kāi)表示，“我們(組織)是非政治性的，和地緣政治無(wú)關(guān)，不要把我們與某個(gè)具體的政府聯(lián)系在一起推測(cè)動(dòng)機(jī)。”

??

勒索的“邊界感”

Cybereason首席安全官Sam Curry表示，DarkSide在實(shí)施勒索攻擊時(shí)似乎有一種“邊界感”，其主要目標(biāo)是英語(yǔ)國(guó)家的營(yíng)利性公司。例如，它會(huì)告訴客戶(hù)避開(kāi)醫(yī)院、療養(yǎng)院、學(xué)校、非營(yíng)利組織和政府機(jī)構(gòu)等組織。

DarkSide也曾在2020年8月發(fā)布的一紙公開(kāi)聲明中稱(chēng)“我們的目標(biāo)是賺錢(qián)，而不是為了社會(huì)制造問(wèn)題。”它在聲明中承諾不攻擊醫(yī)院、學(xué)校、政府機(jī)構(gòu)、非營(yíng)利組織和非商業(yè)組織。

該組織甚至宣稱(chēng)，已經(jīng)將部分勒索所得的收入捐贈(zèng)給慈善機(jī)構(gòu)，具體為兩筆分別為1萬(wàn)美元的資金。

但威脅情報(bào)公司分析師的首席安全策略師喬恩·迪馬吉奧(Jon DiMaggio)表示，這更像一種公關(guān)花招以提高知名度。

迪馬吉奧說(shuō)：“當(dāng)Darkside宣稱(chēng)要捐款時(shí)，幾乎全球的網(wǎng)絡(luò)新聞媒體都對(duì)此做出了報(bào)道，這基本上是一個(gè)2萬(wàn)美元成本的營(yíng)銷(xiāo)，讓它名聲大噪。該組織的成員似乎有很強(qiáng)的‘自尊心’這也是他們?yōu)槭裁磿?huì)對(duì)外發(fā)布新聞稿、與媒體和研究員保持微妙聯(lián)系的原因。”

DarkSide“發(fā)家史”

DarkSide最初只有一名黑客，受雇于臭名昭著的勒索軟件服務(wù)提供商REvil。這名黑客在REvil習(xí)得網(wǎng)絡(luò)犯罪經(jīng)驗(yàn)后，自行開(kāi)發(fā)了與 REvil 共享代碼的勒索軟件新變種。

2020年 11 月，DarkSide 開(kāi)始雇傭自己的分支機(jī)構(gòu)進(jìn)行某些階段的攻擊，包括執(zhí)行攻擊的有效載荷。

卡巴斯基公司威脅勘探主管弗拉基米爾·庫(kù)斯科夫(Vladimir Kuskov)曾對(duì)媒體表示，DarkSide純粹出于利潤(rùn)驅(qū)動(dòng)，執(zhí)著于“大獵殺”，其目標(biāo)為大型公司和組織。通過(guò)其關(guān)聯(lián)關(guān)系，DarkSide 將其勒索軟件產(chǎn)品出售給合作伙伴，合作伙伴隨后可以從其他黑客那里購(gòu)買(mǎi)組織訪問(wèn)權(quán)限，以此部署實(shí)際的勒索軟件。

庫(kù)斯科夫說(shuō)，勒索軟件產(chǎn)品適用于Windows和Linux。DarkSide根據(jù)這兩個(gè)版本都有嚴(yán)密的加密方案，如果沒(méi)有密鑰基本無(wú)法解密。

此前，DarkSide 給受害者提供的密鑰都相同，所有安全人員開(kāi)始嘗試自建解密工具來(lái)幫助受害者恢復(fù)文件和數(shù)據(jù)。但現(xiàn)在DarkSide已經(jīng)意識(shí)到了這一缺陷，所以接下來(lái)的受害者無(wú)法通過(guò)這一途徑“自救”。

有安全公司總結(jié)，DarkSide組織極有耐心，組織嚴(yán)密，對(duì)受害者有深入了解，包括其技術(shù)設(shè)施和任何安全技術(shù)弱點(diǎn)。

DarkSide與其他網(wǎng)絡(luò)犯罪集團(tuán)不同的是，他們使用非常復(fù)雜和隱秘的策略來(lái)感染和勒索受害者。他們的策略包括：

• 使用復(fù)雜的模糊技術(shù)來(lái)規(guī)避基于簽名的檢測(cè)機(jī)制
• 利用 TOR 發(fā)送命令和控制消息到遠(yuǎn)程服務(wù)器來(lái)規(guī)避檢測(cè)
• 利用在伊朗的分布式存儲(chǔ)系統(tǒng)存儲(chǔ)從受害者那里竊取的數(shù)據(jù)
• 避免安裝端點(diǎn)檢測(cè)和響應(yīng) (EDR) 技術(shù)的節(jié)點(diǎn)
• 針對(duì)每個(gè)受害者定制有效載荷
• 刪除日志文件以掩蓋蹤跡
• 從文件、內(nèi)存和域控制器中收集憑據(jù)
• 刪除備份，包括影子副本

在建立對(duì)環(huán)境的深入了解、滲透相關(guān)數(shù)據(jù)、獲得特權(quán)帳戶(hù)的控制、建立后門(mén)并識(shí)別所有系統(tǒng)、服務(wù)器、應(yīng)用程序和備份之前，他們不會(huì)實(shí)際部署勒索軟件程序。他們還通過(guò)網(wǎng)絡(luò)聊天向受害者提供支持，并在發(fā)起攻擊之前對(duì)受害者進(jìn)行財(cái)務(wù)分析。

有消息稱(chēng)，Darkside正采用全新技術(shù)針對(duì)已經(jīng)在納斯達(dá)克或者其他股票市場(chǎng)上市的公司，試圖通過(guò)網(wǎng)絡(luò)攻擊手段做空企業(yè)，讓公司股價(jià)下跌，增加受害者的壓力。

4月20日，DarkSide的數(shù)據(jù)泄露網(wǎng)站上公開(kāi)寫(xiě)道：“我們的團(tuán)隊(duì)和合作伙伴加密了許多納斯達(dá)克和其他證券交易所上市公司的數(shù)據(jù)。如果公司拒絕支付贖金，我們準(zhǔn)備公布攻擊信息，從而在股票減持價(jià)格中獲利。”

RaaS：勒索軟件即服務(wù)

2020年8月，DarkSide發(fā)布了RaaS(勒索軟件即服務(wù))，其中包括一個(gè)提供10%至25% 收益的附屬計(jì)劃。雖然Colonial Pipeline已恢復(fù)運(yùn)營(yíng)，但此后該集團(tuán)一直瞄準(zhǔn)其他公司，包括建筑公司和美國(guó)其他行業(yè)經(jīng)銷(xiāo)商。

經(jīng)網(wǎng)絡(luò)安全公司及研究機(jī)構(gòu)追蹤，UNC2465、UNC2628和UNC2659被認(rèn)為是DarkSide的主要附屬機(jī)構(gòu)之一。

在某些事件中，UNC2465用來(lái)部署除DarkSide勒索軟件以外的惡意軟件，有些時(shí)候即使DarkSide RaaS(勒索軟件即服務(wù))不再運(yùn)行，一些支持性的基礎(chǔ)設(shè)施仍在運(yùn)行，可以提供惡意軟件。

據(jù)安全公司火眼(FireEye)稱(chēng)，UNC2628組織已經(jīng)與其他RaaS供應(yīng)商形成聯(lián)盟，例如同樣臭名昭著的REvil和Netwalker。

火眼還監(jiān)測(cè)到UNC2465、UNC2628利用釣魚(yú)郵件和合法服務(wù)植入一個(gè)基于PowerShell的后門(mén)SMOKEDHAM.NET?；鹧圻€報(bào)告了一個(gè)LNK文件，它鏈接到的URL是電商服務(wù)平臺(tái)Shopify。但目前DarkSide尚未公布對(duì)Shopify的動(dòng)作。

另一家網(wǎng)絡(luò)安全公司RiskIQ也發(fā)現(xiàn)了一個(gè)LNK文件，同樣鏈接到Shopify，并且該鏈接重定向后還是Shopify的鏈接，該鏈接指向的第三個(gè)鏈接，則包含在Shopify主機(jī)上托管的SMOKEDHAM.NET后門(mén)。該后門(mén)可以執(zhí)行鍵盤(pán)記錄、屏幕截圖和執(zhí)行任意.NET命令。

火眼在6月17日還報(bào)告過(guò)??UNC2465組織對(duì)一家名為Dahua的安防廠商發(fā)起供應(yīng)鏈攻擊??。UNC2465將惡意代碼植入Dahua SmartPSS Windows應(yīng)用程序中，火眼推測(cè)UNC2465可能對(duì)其軟件安裝包進(jìn)行木馬化。

[[407064]]

在以往的攻擊事件中，一旦部署后門(mén)，UNC2465會(huì)在24小時(shí)內(nèi)建立一個(gè)NGROK隧道并進(jìn)行橫向移動(dòng)。五天后，UNC2465攻擊者會(huì)回返并部署其他工具，如鍵盤(pán)記錄器、Cobalt Strike BEACON，并通過(guò)轉(zhuǎn)儲(chǔ)LSASS內(nèi)存收集憑據(jù)。

專(zhuān)家提醒，一個(gè)全面的安全項(xiàng)目需要適應(yīng)不斷變化的安全環(huán)境。UNC2465攻擊方式的轉(zhuǎn)變令人擔(dān)憂，從對(duì)網(wǎng)站訪問(wèn)者的掛馬攻擊或郵件釣魚(yú)攻擊轉(zhuǎn)變?yōu)檐浖?yīng)鏈攻擊，對(duì)威脅檢測(cè)提出了新挑戰(zhàn)。雖然在Colonial Pipeline輸油管道攻擊之后，許多企業(yè)更加關(guān)注外圍防御和雙重身份驗(yàn)證，但對(duì)端點(diǎn)的監(jiān)測(cè)常常被忽視或只采用傳統(tǒng)的病毒防御手段。